教育網網站掛馬監測分析 續
網站掛馬是黑客們比較新的攻擊網站的手段,隨著全球網站的數量增多,黑客下手的機會越來越多,教育網也不會例外,下面就讓我們看一下對于教育網網站掛馬監測分析。
1. 網頁木馬宿主站點分析
根據網站掛馬監測平臺的網頁木馬精確定位和掛馬鏈提取功能,我們網頁木馬宿主站點進行了追溯。在平臺對666個掛馬網站的累計10,859次檢出結果中,這些掛馬網站最終裝載了位于1,773個惡意宿主上的網頁木馬URL,傳播網站數量最多的網頁木馬宿主站點如表1,最多的宿主站點www.jjeffyfc19.info上的網頁木馬鏈接在46個教育網網站中植入傳播。
表2顯示了影響掛馬網站數量最多的網頁木馬宿主站點根域名,以及在這些根域名上所發現的網頁木馬宿主站點數量,從中可以看出大量網頁木馬宿主站點利用免費域名服務申請的動態域名進行DNS解析。另外,發現了29個gov.cn為根域名的站點被作為網馬宿主站點,從一方面說明了政府類網站的安全情況也不容樂觀,這和監測系統針對政府網站的監測結果也比較吻合。
2. 典型案例分析-“精品課程”網站掛馬分析
精品課程建設工作由教育部在2003年啟動,面向全國高等學校(包括高職高專院校)實施,致力于高校的教學質量與教學改革工程,詳見:國家精品課程資源網(http://www.jingpinke.com/)和全國高等學校教學精品課程建設工作(http://www.jpkcnet.com/)。
北京大學網站掛馬監測系統從2010年初開始,陸續發現了包括中國礦業大學精品課程網站、同濟大學精品課程、華中科技大學精品課程等50多個精品課程網站被掛馬(表3),掛馬網頁多達3400多條。被掛馬的網頁大多是在頁面的頂端或末尾附上一系列的隱藏iframe,包含十六進制的網址,通常使用SQL注入是的掛馬方式,其中的一個或多個網址將會鏈接到最終的攻擊頁面,利用的大多為當時的流行漏洞如極風等進行攻擊。
我們對這種非常特殊的大范圍的高度相似的異常情況經過分析發現:在各高校按規定建設精品課程網站后,社會上出現了一些公司,如天空教室、谷秋、中微網絡、九維等,針對各高校的精品課程網站建設、申報等需求,開發了相應的產品。這些產品依照教育部的精品課程申報評審系統進行量身訂制,使得用戶能夠輕松的制作申報網站和課程網站。
其中,天空教室(http://www.skyclass.cn/index.htm)是各高校精品網站建設中最普及的工具,它從2003年第一屆國家精品課程評選工作開始參與,并在之后不斷推陳出新,擁有最廣泛的用戶群。但 “天空教室”工具的一些版本,因存在ASP變量過濾不嚴格的問題,因此能輕易地被黑客入侵,采用SQL注入方式在網站中嵌入非法內容。
因此導致眾多高校的精品課程網站被大范圍掛馬。也提醒我們對網站使用第三工具需要加強安全測試,網站工具的開發者需要投入更多的資源,關注到軟件本身的安全問題中。
3. 網頁木馬利用的安全漏洞
網站掛馬監測平臺對發現的被掛馬網站,使用網馬場景自動保全技術保全網馬原始的攻擊場景,利用該場景數據可以進一步對網頁木馬進行深入分析,根據對固化保全的網頁木馬攻擊場景進行人工輔助分析的結果,我們總結了2010年下半年檢出網頁木馬所主要利用的安全漏洞和攻擊方式:網馬利用最為流行和普遍的漏洞莫屬IE瀏覽器中爆出的MS10-018(國內又稱”極風”)和MS10-002(”極光”);另外Adobe公司的Flash和PDF由于應用面廣泛、支持內嵌ActionScript和JavaScript等腳本語言,也已經成為網馬攻擊的常用途徑。
4. 總結
北京大學網絡與信息安全實驗室、中國教育和科研網緊急響應組(CCERT)、中國教育網體檢中心合作,通過中國教育網體檢中心(www.nhcc.edu.cn)為教育網3.5萬多個網站提供監測范圍,通過一年多監測分析,共檢出來自490多個頂級域名的1,853個網站被掛馬,網站掛馬率達到5.26%,這說明教育網網站的安全狀況仍不容樂觀。
網站掛馬的分析就結束了,希望高校網絡安全管理部門和人員能夠充分重視,對相關網站進行全面檢測和安全加固,積極預防,盡量避免網站掛馬等安全事件的發生。
【編輯推薦】
